nieuws

Bedrijven steeds verantwoordelijker voor cybergevaren

Branche

In het kader van een Europees wetsvoorstel op de bescherming van persoonsgegeven zullen Europese bedrijven het beheer van data van derde partijen onder de loep moeten nemen. Hun verantwoordelijkheden zullen aanzienlijk toenemen en overtredingen kunnen met flinke boetes worden bestraft.

Bedrijven steeds verantwoordelijker voor cybergevaren

Bedrijven in de EU zullen iedere inbreuk op persoonlijke gegevens zo snel mogelijk moeten melden aan een toezichthouder, zo mogelijk zelfs binnen 24 uur. Volgens het wetsvoorstel kunnen bedrijven die deze regel overtreden een boete tegemoet zien van 5% van hun totale jaarlijkse omzet, ongeacht de berokkende schade.

De Algemene verordening gegevensbescherming (AVG) zal naar verwachting in 2015 in heel Europa van kracht worden en de Richtlijn voor databescherming uit 1995 vervangen. Het voorstel wordt nog besproken en een aantal van de meer kostbare voorstellen (inclusief de omvang van de op te leggen boete) kunnen nog worden afgezwakt of in hun geheel worden verwijderd uit de definitieve tekst.

Maar de uiteindelijke verordening zal bedrijven er vrijwel zeker strenger toe verplichten klanten of andere betrokken te partijen in te lichten over een privacyschending, zegt Gilbert Flepp, Cyber Risks Line Manager Continental Europe bij ACE. “Datalekken en gegevensbeveiliging zullen veel serieuzer moeten worden aangepakt door Europese bedrijven, omdat er door toezichthouders, de media en het publiek strenger op gelet zal worden.”

Een nieuwe cultuur vestigen

Bedrijven dienen er zich volledig van bewust te zijn dat gegevensdiefstal geen fysieke daad hoeft te zijn, vertelt Iain Ainslie, Technology and Cyber Underwriter bij ACE Global Markets. “In het verleden werden klantgegevens fysiek opgeslagen en waren er een of meerdere vrachtwagens nodig om een half miljoen klantgegevens te stelen.

Nu is het verliezen van een usb-stick of het hacken van een onvoldoende beveiligd bedrijfsnetwerk voldoende. Het is niet langer een fysiek risico, en het riskmanagement van een bedrijf zal die boodschap moeten overbrengen.”

ICT-kwesties worden te vaak overgelaten aan de afdeling ICT, maar volgens de nieuwe regels zullen ICT, riskmanagement en de andere bedrijfsonderdelen beter op elkaar afgestemd moeten zijn en nauwer moeten samenwerken. Ook moeten de zaken op managementniveau worden aangepakt: zodra de directie van een bedrijf zich richt op het minimaliseren van datalekken, zullen alle daaruit voortvloeiende procedures en protocollen veel eenvoudiger te implementeren zijn.

Fouten maken is menselijk…

Bedrijven moeten daarnaast menselijke fouten aanpakken, die in ieder bedrijfstype een belangrijke oorzaak van gegevenslekken zijn. Veel inbreuken ontstaan doordat werknemers op internetlinks klikken waarmee virussen gedownload worden naar het bedrijfsnetwerk, of doordat ze een usb-stick met gevoelige informatie in een openbare ruimte laten liggen. “Bedrijven moeten hun medewerkers uitleggen hoe gevoelig de gegevens zijn die zij gebruiken, en wat de gevolgen zijn als zij die gegevens verliezen”, zegt Ainslie.

 

De kleine lettertjes

Een essentieel detail van de regelgeving is dat het hier om een wet gaat en niet om een richtlijn. Dus in tegenstelling tot de Richtlijn gegevensbescherming uit 1995 die hiermee wordt vervangen, mogen nationale regeringen er geen eigen interpretatie aan geven en moet de Verordening in zijn geheel in de wetgeving alle EU-lidstaten worden opgenomen. Ten minste, dat is de bedoeling. De realiteit kan iets anders uitpakken, zegt Andrew Horrocks, Partner bij Clyde and Co.

“Ieder land heeft zijn eigen wetgevende autoriteit met verschillende mogelijkheden en personele organisaties, dus zullen ook onderzoeken op verschillende manieren worden uitgevoerd. Het is niet duidelijk hoe nationale overheden de Verordening zullen toepassen. Er wordt van ze verwacht dat ze nauw met elkaar zullen samenwerken om een zo consistent mogelijke aanpak te bereiken, maar het is niet duidelijk hoe dat in de praktijk zal uitpakken”, zegt Horrocks.

 Inmiddels werden er al meer dan 3.000 amendementen op de Verordening voorgesteld. Aspecten van het voorstel die al de nodige kritiek te verduren kregen waren onder meer de ‘uitdrukkelijke’ eis tot instemming, de invoering van het recht om vergeten te worden en het recht op overdraagbaarheid, de eis om functionarissen voor gegevensbescherming aan te stellen, de behandeling van kleinere bedrijven, en de regeling waarbij een boete van 5% van de wereldwijde jaaromzet wordt opgelegd voor een lijst van specifieke tekortkomingen in de naleving.

Reageer op dit artikel